Datenschutz und Strafrecht: Chats durchleuchten gegen Kinderpornografie? Passagierdaten speichern zur Terrorabwehr? Zyklus-Apps abfragen zur Ermittlung von Abtreibungen?

Die EU will stärker gegen Kinderpornografie im Internet vorgehen. So weit, so gut, schließlich gab es erst kürzlich wieder einen Missbrauchsskandal – und Kritik an zu viel Datenschutz als zu viel Täterschutz. Allerdings will die EU nun in einem aktuellen Gesetzentwurf offenbar pauschal alle E-Mails und Chats automatisch scannen lassen, um entsprechende verbotene Videos und Bilder ausfindig zu machen. Auch Apple hatte zuvor versucht, etwas gegen den Austausch von Dateien bezüglich Kindesmissbrauch zu tun, hatte das Verfahren aber nach viel Kritik eingestellt. Die Tech-Unternehmen sollen den EU-Plänen zufolge nun sexualisierte Gewalt gegen Kinder auf ihren Plattformen selbst erkennen, melden und dann entfernen; die genaue Umsetzung soll ihnen überlassen bleiben. Es bleibt abzuwarten, ob und wie am Ende ein Gesetz daraus wird…

… Oder ob es so erst kommt, und dann wieder vom EuGH gekippt werden muss. So erging, es gerade noch rechtzeitig vor den Sommerferien, der PNR-Richtlinie. „PNR“ steht für „Passenger Name Record“ und besagt, dass Reisebüros, Airlines usw. seit 2016 die Daten von Fluggästen (und dabei nicht nur den Namen, sondern auch Reisedaten, Flugroute, Adresse, Telefon, Zahlungsart, Infos zu Mitreisenden und Gepäck etc.) aus Gründen der Sicherheit und Terrorabwehr pauschal an die Behörden des jeweiligen Landes übermitteln müssen. Diese können die Daten bis zu fünf Jahre lang speichern und systematisch verarbeiten – je nach nationalem Recht. Im konkret beklagten Belgien speichert die Polizei sogar die Daten von grenzüberschreitenden Bus-, Zug- und Fährpassagieren.

Dies muss nun auf das für den Kampf gegen Terror absolut Notwendige beschränkt werden, urteilte der EuGH. Das heißt im Regelfall: auf Flüge, die von außerhalb der EU kommen bzw. dorthin fliegen bzw. auf bestimmte Verbindungen und Reisemuster oder bestimmte Flughäfen, Bahnhöfe oder Häfen; und auch diese Daten dürfen nur sechs Monate lang aufbewahrt werden. Bei der KI-basierten Software zur Durchsuchung der Daten muss vorher klar festgelegt werden, welche Merkmale der Algorithmus durchsucht. Damit begrenzt der EuGH erstmals explizit den Einsatz Künstlicher Intelligenz, was ggf. Vorbild für künftige Entscheidungen in anderen Fragen sein könnte.

Ein anderes Urteil schlägt Wellen in den USA: Der Supreme Court hat das Recht auf Abtreibung gekippt – nun ist es den einzelnen Bundesstaaten überlassen, in welchem Maß sie Schwangerschaftsabbrüche erlauben, oder eben nicht. Und die Republikaner haben sich vielerorts schon an die Umsetzung gemacht und sie quasi verboten.

Was das mit Datenschutz zu tun hat: Natürlich hinterlassen Betroffene überall digitale Spuren. Ärzte und Apotheker drohen zu „Komplizen“ zu werden und ihre Lizenz zu verlieren, wenn sie in entsprechenden Bundesstaaten weiter Abtreibungen durchführen. Und so werden landesweit Behandlungen unterbrochen, Rezepte storniert oder Beratungs- und Arzttermine abgesagt. Als das Urteil vor einigen Wochen vorab geleakt wurde, twitterte die Grünen-Vorsitzende Ricarda Lang zutreffend: Man kann Abtreibungen nicht verbieten. Man kann nur sichere Abtreibungen verbieten. Das tritt jetzt ein.

Panik geht um hinsichtlich Apps zum Tracking der Menstruation. Es wird befürchtet, dass die Strafverfolgungsbehörden auf jene Daten zugreifen könnten, um Frauen Abtreibung vorzuwerfen. „Löscht jetzt eure Perioden-Tracker-Apps!“, ist eine inzwischen hunderttausendfach geteilte Warnung in den Social Media. Denn Behörden könnten die in den Apps hinterlegten Daten vor Gericht nutzen, um zu belegen, dass jemand schwanger war und es jetzt nicht mehr ist. Selbst wenn man dann also in einen anderen Bundesstaat reist, um die Abtreibung dort legal durchführen zu lassen, könnte man unter Umständen dennoch anhand seiner digitalen Spuren strafrechtlich verfolgt werden. Solche Szenarien im Jahr 2022 machen einfach nur sprachlos.

Auch In Deutschland gibt es, nach der irrsinnigen Debatte, ob „der Datenschutz“ Menschenleben gefährden würde (dazu hier Stellungnahmen der Deutschen Gesellschaft für innere Medizin und des Hessischen Datenschutzbeauftragten), weiterhin Aufruhr an der Schnittstelle Gesundheit und Datenschutz. Konkret geht es um die Anbindung aller Arztpraxen ans TI-System der Gematik. Diese gehört der Bundesärztekammer, den Krankenversicherungen und mehrheitlich dem Bundesgesundheitsministerium – und die Anbindung der Praxen an die Gematik ist Pflicht, denn die TI sorgt für den Datenaustausch zwischen Arztpraxen, Krankenversicherungen usw.

Und Sie ahnen es schon: Bei ihr gab es eine Datenschutzpanne, und zwar durch einen fehlerhaften Konnektor. Zur Überraschung aller Beteiligten sieht der Bundesdatenschutzbeauftragte Ulrich Kelber auch die einzelnen Praxen in der Pflicht, da sie die Verarbeitenden der Daten im Sinne der DSGVO seien, und forderte sie auf, ihre Patienten über den Datenschutzverstoß zu informieren. Die Ärztevertreter sehen sie natürlich nur als Opfer, schließlich wurde die Technik ja vom Staat bereitgestellt und ist „alternativlos“… Eine Lösung in dem Streit steht noch aus und könnte noch interessant werden.

Von einer weiteren Absurdität berichtet die Hessenschau: In Hessen wurden zeitweilig keine Daten zwischen Polizei, Ordnungsamt und Abschleppunternehmen ausgetauscht, wenn ein Auto abgeschleppt wurde. Man sollte selbst die verschiedenen Unternehmen abklappern und sein Auto suchen – und wenn das erfolglos war, riet die Polizei, das Auto wiederum bei der Polizei als gestohlen zu melden! Infolge der Recherche der Hessenschau darf nun aber wieder die Polizei erfahren, wo abgeschleppte Autos hingebracht wurden und kann auch Auskunft geben, wo sie wieder abgeholt werden können.

Für „echte“ Verarbeiter von Daten gibt es noch ein paar neue Leitfäden zu folgenden Themen:

• Durchführung einer Risiko-Analyse und Datenschutz-Folgenabschätzung anhand des Standard-Datenschutzmodells SDM – vom Bayrischen Datenschutzbeauftragten
• Das Recht auf Löschung nach der DSGVO – ebenfalls aus Bayern
• Und wen die andere Seite interessiert: Berechnung von Bußgeldern bei DSGVO-Verstößen – herausgegeben vom Europäischen Datenschutzausschuss.

Zu guter Letzt möchte ich noch vor vermeintlich freundlichen Briefen und E-Mails warnen, die sich auf das Urteil des Landgericht München vom 20. Januar 2022 zur Verwendung von Google Webfonts berufen. Damals hatte eine Internetseite (ohne Einwilligung des Klägers) jene Fonts verwendet, das Gericht hatte dem Betroffenen daraufhin ein Schmerzensgeld in Höhe von 100 Euro zugestanden. Dies hat nun offenbar Nachahmer auf den Plan gerufen, von vielen verschiedenen Firmen je 100 Euro freundlich, nun ja, zu erpressen, damit es nicht zu einem Gerichtsverfahren auch gegen diese kommen müsse. Raffinierte Taktik, denn anstatt einer klassischen Abmahnung ist das Ganze eher geschrieben wie ein freundlicher Hinweis, dass man mit der dynamischen Einbettung der Google Fonts seine Besucher in ihrem Persönlichkeitsrecht verletzen würde…

Wie man am besten vorgeht, wenn man so ein Schreiben erhält, wägen Sie am besten mit Ihrem Datenschutzbeauftragten ab. Ich wünsche Ihnen einen schönen Sommer!